Win11 24H2将调整安全规则 NAS用户访问可能失败


    数码爱好者朋友都知道,微软目前已经发布了Windows 11 24H2预览版,Windows 11 24H2正式版很快就会来了,这是一个非常重要的版本更新,很多朋友都非常关注。
    
    当然,Windows 11 24H2最值得关注的是有关AI方面的新功能和改进,据称微软将深度整合Copliot。不过,AI不是本文的主题,本文的主题是要向读者介绍Windows 11 24H2版本中的两项新安全规则的变化,这可能会影响到一部分NAS用户。
    
    具体而言,在Windows 11 24H2版本中,微软将对两项重要的网络访问规则进行更改:
    一、在默认情况下,所有的连接都需要SMB签名。这项规则可以通过防止网络篡改提高安全性,并可阻止将凭据发送到恶意服务器的中继攻击。
    二、微软将在Windows 11 24H2专业版(和以后的版本中)禁用不安全的来宾登录,这项规则可以提高用户在连接到不可信设备时的安全性。
    在这之前,来宾账户允许用户在没有、不用输入用户名或密码的情况下连接到SMB服务器,虽然很方便,但是有非常大的安全风险。可能会导致用户的设备被攻击者诱骗、连接至恶意服务器,从而窃取用户的数据,或者恶意加密用户的数据进行敲诈勒索。
    
    调整这两项安全规则可大幅提高安全,但是凡事有利也就有弊,由此也可能会产生一些负面后果。因为某些NAS设备是基于之前的安全规则所开发、设计的,当用户更新至Windows 11 24H2版,新安全规则生效后,用户访问这些NAS设备可能会出现各种错误,无法正常使用。
    如果用户的NAS设备不支持SMB签名,可能会遇到以下各种提示报错,包括但不限于:
    0x00a000、-1073700864、签名无效(STATUS_INVALID_SIGNATURE)、加密签名无效(STATUS_INVALID_SIGNATURE)等等。
    
    如果用户的NAS设备需要支持不安全的来宾登录,则可能会收到以下报错信息,包括但不限于:
    您无法访问此共享文件夹,因为组织的安全策略会阻止未经身份验证的来宾访问,这些策略有助于保护您的电脑免受网络上不安全或恶意设备的侵害、0x80070035、0x800704f8、找不到网络路径(The network path was not found)、发生系统错误3227320323(System error 3227320323 has occurred)。
    
    如果用户日后更新至Windows 11 24H2版真的遇到了上述问题,可通过以下两个临时性的办法解决:
    一、禁用SMB客户端签名要求
    在“开始”菜单搜索中,输入gpedit并启动“编辑组策略”应用(本地组策略编辑器),选择“计算机配置”>“Windows 设置”>“安全设置”>“本地策略”>“安全选项”,双击Microsoft网络客户端:对通信进行数字签名(始终),最后选择“已禁用”>“确定”,请参阅上图。
    
    二、启用不安全的来宾登录
    在“开始”菜单搜索中输入 gpedit 并启动“编辑组策略”应用(本地组策略编辑器),选择“计算机配置”>“管理模板”>“网络> Lanman 工作站”,双击“启用不安全的来宾登录”,最后选择“已启用”>“确定”,请参阅上图。
    需要强调、指出的是,这两种解决方法都只是权宜之计,存在较大的安全风险,微软将敦促广大NAS设备厂商尽快更新自家产品的相关固件和软件,以符合Windows 11 24H2的新网络安全规则。
    因此,最近一段时间,广大NAS设备用户需要密切留意微软方面和NAS设备制造商的官方说明,及时更新相关固件和软件,这才是最可靠、最稳妥的做法。